文章总结： WantToCry勒索软件通过扫描暴露的SMB服务端口并进行暴力破解认证，实现无需本地恶意代码执行的远程文件加密闭环攻击。Sophos研究发现该攻击完全依赖网络文件共享操作，规避了传统终端检测工具。攻击涉及德国等地IP基础设施，每起事件固定索要600美元低额赎金，反映其攻击范围局限性。建议及时修补SMB漏洞并强化认证机制。 综合评分： 80 文章分类： 恶意软件,漏洞分析,网络安全,威胁情报,应急响应

WantToCry勒索软件利用暴露的SMB服务实现远程加密闭环

FreeBuf

2026年5月25日 18:00 上海

在小说阅读器读本章

去阅读

最新分析的勒索软件攻击活动彻底颠覆了传统终端防御策略——其整个加密过程无需在本地执行任何恶意代码。Sophos反威胁研究团队深入调查发现，WantToCry对传统终端检测与响应（EDR）平台构成了独特挑战：攻击者利用暴露在互联网的服务器消息块（SMB）文件共享服务，远程静默提取、加密并覆盖目标网络数据。

Part01

无本地执行的攻击范式

Sophos反威胁研究团队在核心情报简报中强调：

“由于WantToCry无需本地恶意软件执行即可运作，且除窃取文件并重写磁盘外无其他入侵后活动，其检测面大幅缩小。”

攻击者刻意选用这个名称，意在影射2017年肆虐全球网络的WannaCry勒索蠕虫。但Sophos分析师指出，两者的运作基础截然不同——旧版利用核心代码漏洞实现自我传播，而WantToCry完全依赖扫描和认证暴力破解开辟入侵路径。

Part02

三阶段攻击闭环

攻击流程绕过了典型的入侵后网络定位，形成从初始访问到数据加密的紧密闭环：

侦查阶段：通过大规模互联网扫描基础设施，探测开放SMB端口TCP/139和TCP/445的主机

暴力破解：自动化脚本持续攻击暴露端口，测试默认或弱密码直至获取有效凭证

远程置换：认证成功后，攻击者控制远程服务器接管SMB会话，系统性发起文件读取请求，在其本地硬件加密后，再通过写入命令将密文回传至受害者存储设备

由于未执行非常规二进制文件、未修改注册表且无异常系统进程，本地反恶意软件工具对网络文件共享中的破坏活动完全无感知。

Part03

基础设施溯源

Sophos追踪到攻击活动涉及德国、俄罗斯、美国和新加坡的五个全球分布式IP地址。取证分析发现两个反复出现的计算机名（WIN-J9D866ESIJ2和WIN-LIVFRVQFMKO）驱动着自动化文件写入操作，这些虚拟机最初由正规IT基础设施提供商ISPsystem出租，后被恶意防弹托管中介转租。

Part04

异常低廉的赎金

完成文件置换后，恶意软件会留下赎金票据，指示受害者通过临时qTox或Telegram通道获取比特币钱包信息。值得注意的是，赎金金额异常低廉——每起事件固定索要600美元。Sophos指出，这与动辄数百万美元的企业勒索形成鲜明对比，直接反映出”勒索软件部署范围的局限性”，因为加密通常仅针对直接暴露SMB服务的单一设备。

参考来源：

WantToCry Ransomware Leverages Exposed SMB for Remote Encryption Loops

WantToCry Ransomware Leverages Exposed SMB for Remote Encryption Loops

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《WantToCry勒索软件利用暴露的SMB服务实现远程加密闭环》